文章总结： 文档揭示信息窃取者引发的恶意软件传播反馈循环：攻击者窃取网站凭证劫持合法站点，利用ClickFix社会工程手段诱骗用户执行恶意PowerShell命令下载恶意软件并盗取更多凭证，形成去中心化且自我维持的攻击链。数据显示约13%的恶意域名关联已泄露凭证。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,WEB安全

信息窃取者使攻击者能够劫持合法的商业基础设施进行恶意软件托管

原创

O安全研究员

O安全研究员

2026年1月4日 20:02 广东

一个危险的网络犯罪反馈循环出现了，窃取信息窃取恶意软件的凭证让攻击者能够劫持合法的商业网站并将其转化为恶意软件传播平台。

哈德逊岩威胁情报团队的最新研究显示，这种自我维持的循环将受害者转变为无意中的同谋。

ClickFix 攻击方法

网络犯罪分子使用一种名为“ClickFix”的复杂社会工程技术，通过自身行为诱使用户执行恶意代码。

攻击始于受害者访问被攻破的网站，网站显示假冒的安全提示，模仿Google reCAPTCHA或浏览器错误信息。

当用户点击这些虚假警报时，恶意JavaScript会悄无声息地将PowerShell命令复制到他们的剪贴板上。

假提示随后指示用户按Windows+R，并用Ctrl+V粘贴“验证码”。

这会执行隐藏命令，直接下载像Lumma、Vidar或Stealc这样的信息窃取恶意软件到他们的系统，同时绕过传统的安全控制。

对追踪1600多个活跃恶意域名的ClickFix Hunter平台数据进行分析，发现了一个令人震惊的模式。

将这些域名与哈德逊岩石的被泄露凭证数据库交叉比对，发现有220个域名，其中约13%同时托管ClickFix活动，且管理凭证被信息窃取者日志暴露。

这种相关性证明了因果关系，合法企业的管理员被信息窃取者感染后，其网站被劫持，传播了同样的恶意软件。

被盗的凭证包括访问WordPress管理面板、cPanel托管控制和内容管理系统。

jrqsistemas.com 分析显示了这一模式。该域名目前正在举办一个活跃的ClickFix活动。

然而，Hudson Rock 情报显示，该网站管理员的 WordPress 登录凭证此前已被信息窃取恶意软件盗取。

攻击者利用这些有效凭证访问网站并上传恶意脚本，将一个合法的商业网站转变为攻击平台。

类似证据也存在于许多其他域名，包括 wo.cementah.com，其中信息窃取者收集的管理员凭证使恶意软件托管得以获得未经授权的访问。

这种反馈循环带来了攻击基础设施的指数级增长。随着更多计算机被感染，更多凭证被盗。

更多的凭证被盗导致更多网站被攻破，扩大了ClickFix活动的覆盖面积，进而导致更多感染。这个循环变得自我维持。

这种基础设施的去中心化特性使得颠覆变得极其困难。攻击者不是从专门的恶意服务器上作，而是藏身于数千家合法托管商中，利用被攻破的商业网站。

即使当局拆除了主要的僵尸网络，分布式基础设施依然基本完好无损。

由ReliaQuest研究员Carson Williams开发并与Hudson Rock情报集成的ClickFix Hunter平台，为这一威胁提供了关键的可视化。

据Infostealers称，该工具区分纯恶意域名和被攻破的合法网站，从而实现更有效的修复策略。

网络安全社区必须认识到，现代恶意软件的传播越来越依赖于利用人类行为，而非技术漏洞。

随着浏览器和作系统的安全性提升，攻击者转向社交工程策略，诱使用户关闭自身保护措施。

理解并破坏支持这些活动的基础设施，尤其是凭证盗窃反馈循环，对于打破这一危险循环至关重要。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员《信息窃取者使攻击者能够劫持合法的商业基础设施进行恶意软件托管》